Назад | Перейти на главную страницу

Почему локальный root может использовать su для любого пользователя LDAP?

У нас есть сервер LDAP, настроенный с нашей Active Directory. Когда пользователи входят в систему Linux с установленным клиентом LDAP как root, они могут войти в любую учетную запись Active Directory без необходимости использования пароля пользователя. Это большой риск для безопасности, кто-нибудь знает, почему это так и как этого избежать?

К сожалению, запретить root-доступ нельзя, поскольку в некоторых случаях это требуется некоторым пользователям.

Это стандартная конструкция Unix, и вы не можете помешать root делать все, что он хочет.

Более безопасный дизайн заставит пользователей использовать sudo и для конфигурации sudo, чтобы пользователи могли выполнять только определенные задачи, которые им нужно выполнить. Неограниченный sudo должен быть ограничен конкретным ИТ-персоналом, которому он нужен для обслуживания серверов, а фактический пароль root должен храниться где-нибудь в сейфе.

Мой коллега смог найти решение проблемы корневого доступа к учетным записям пользователей LDAP без пароля. Есть параметр в /etc/pam.d/su называется pam_rootok.so. Это нужно закомментировать с помощью #. После того, как это закомментировано, root будет запрашивать пароль пользователя при попытке su.

Вот как это должно работать.

Вы ЖЕСТЯНАЯ БАНКА однако предотвратить или ограничить доступ root. Я работаю с системами здравоохранения и сталкиваюсь со всевозможными нормативными и нормативными требованиями. Наши аудиторы довольны аутентификацией LDAP, но предпочитают, чтобы мы доступ sudo для работы с обычными пользователями, которым иногда могут потребоваться привилегии повышения уровня root.